英国生物医学研究项目 UK Biobank 于 4 月 23 日致信参与者披露数据安全事件:4 月 20 日,机构发现其数据被挂上阿里巴巴旗下电商平台出售,三条挂售信息中至少一条包含全部 50 万参与者的去识别(de-identified)数据,另外两条提供数据访问申请代办或分析支持服务。UK Biobank 强调被挂售数据已经过去识别处理,不含姓名、地址、联系方式、电话或 NHS 号码;相关链接已在中国当局与平台配合下迅速下架,未发现实际成交。机构同时撤销了被认定为泄露源头的三家研究机构的访问权限,并暂停整个研究平台的对外访问。
受此影响,UK Biobank 宣布对研究平台导出文件设置严格大小上限、每日监控可疑行为,并计划年底前部署"全球首个"自动检查系统以阻止参与者数据被带离平台;机构亦已自行向英国信息专员办公室(ICO)报案,并将启动董事会主导的法证调查。英国数字政府与数据部长 Ian Murray 同日在下议院发表声明,称此事是"对参与者信任的不可接受的滥用"。批评声音则指出,去识别并不等于不可重识别——牛津大学研究员 Luc Rocher 称这已是去年夏天以来 UK Biobank 数据第 198 次已知曝光,ESET 全球网络安全顾问 Jake Moore 提醒参与者警惕后续假冒 NHS 或保险机构的诈骗。
UK Biobank | GOV.UK | The Register | ITV News